一般來講如果app用了web service , 我們需要防止數據嗅探來保證數據安全.通常的做法是用ssl來連接以防止數據抓包和嗅探
其實這么做的話還是不夠的 。 我們還需要防止中間人攻擊(不明白的自己去百度)。攻擊者通過偽造的ssl證書使app連接到了偽裝的假冒的服務器上,這是個嚴重的問題!那么如何防止中間人攻擊呢?
首先web服務器必須提供一個ssl證書,需要一個 .crt 文件,然后設置app只能連接有效ssl證書的服務器。
在開始寫代碼前,先要把 .crt 文件轉成 .cer 文件,然后在加到xcode 里面
.crt 文件轉成 .cer 文件
1.使用openssl 進行轉換
openssl x509 -in 你的證書.crt -out 你的證書.cer -outform der
2.通過安裝crt文件,電腦導出
1)先打開“鑰匙串訪問”
2)選中你安裝的crt文件證書,選擇“文件”--》“導出項目”
3)選擇.cer證書,存儲即可。
AFNetworking 對數據進行https ssl加密
實際上,很簡單,只需要兩步。
第一步:新增一個類
+ (AFSecurityPolicy*)customSecurityPolicy { // /先導入證書 NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//證書的路徑 NSData *certData = [NSData dataWithContentsOfFile:cerPath]; // AFSSLPinningModeCertificate 使用證書驗證模式 AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]; // allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認為NO // 如果是需要驗證自建證書,需要設置為YES securityPolicy.allowInvalidCertificates = YES; //validatesDomainName 是否需要驗證域名,默認為YES; //假如證書的域名與你請求的域名不一致,需把該項設置為NO;如設成NO的話,即服務器使用其他可信任機構頒發的證書,也可以建立連接,這個非常危險,建議打開。 //置為NO,主要用於這種情況:客戶端請求的是子域名,而證書上的是另外一個域名。因為SSL證書上的域名是獨立的,假如證書上注冊的域名是www.google.com,那么mail.google.com是無法驗證通過的;當然,有錢可以注冊通配符的域名*.google.com,但這個還是比較貴的。 //如置為NO,建議自己添加對應域名的校驗邏輯。 securityPolicy.validatesDomainName = NO; securityPolicy.pinnedCertificates = @[certData]; return securityPolicy; }
第二步:直接在請求方法里加入,只有一行代碼
+ (void)post:(NSString *)url params:(NSDictionary *)params success:(void (^)(id))success failure:(void (^)(NSError *))failure { // 1.獲得請求管理者 AFHTTPRequestOperationManager *mgr = [AFHTTPRequestOperationManager manager]; // 2.申明返回的結果是text/html類型 mgr.responseSerializer = [AFHTTPResponseSerializer serializer]; // 加上這行代碼,https ssl 驗證。 //[mgr setSecurityPolicy:[self customSecurityPolicy]]; // 3.發送POST請求 [mgr POST:url parameters:params success:^(AFHTTPRequestOperation *operation, id responseObj) { if (success) { success(responseObj); } } failure:^(AFHTTPRequestOperation *operation, NSError *error) { if (failure) { failure(error); } }]; }
接下來,我們通過Charles抓取數據,抓到的數據已經加密。
可能遇到的問題
1)證書一定要拉到項目里面,AFN加了驗證之后,看看獲取證書的certData是否為空。如果為空,則證書有問題
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
2)如果https服務器沒有數據返回,很大可能是因為服務器配置出了問題。
3)錯誤說“Error Domain=kCFErrorDomainCFNetwork Code=-1004” ,是沒有配支持http的請求,解決如下
- 在Info.plist中添加NSAppTransportSecurity類型Dictionary。
- 在NSAppTransportSecurity下添加NSAllowsArbitraryLoads類型Boolean,值設為YES
附Demo: http://download.csdn.net/detail/jys1216/9412638
注:由於cer證書是真實的項目在用,不便提供,因些Demo里的cer證書和請求鏈接都是有誤的。請替換使用。
demo里的cer文件,我是在AFN里找的,certData是有數據的。
參考文章
iOS安全系列之一:HTTPS :http://oncenote.com/2014/10/21/Security-1-HTTPS/